Googleオフィスで導入されていたIoT錠、従業員によってハックされる

Googleオフィスで導入されていたIoT錠、従業員によってハックされる 17

ストーリー by hylom 2018年09月06日 15時54分
Googleにバックドア部門より

あるAnonymous Coward曰く、

Googleのオフィスの扉で採用されているネットワーク接続型の錠（スマートロック）には脆弱性があり、ネットワーク経由で悪意のあるコードを送信することで開錠できてしまったという（Forbes、GIGAZINE、Slashdot）。
この錠は本来はRFIDを使ったカードキーを使って開錠するもので、ネットワーク経由で開錠状況を記録する機能があるというもののようだ。しかし、今回発見された脆弱性では外部から開錠ができるだけでなく、記録を残さずに開錠したり、勝手に施錠することもできたという。
この錠はSoftware Houseというメーカーのもので、発見された脆弱性はすでに報告され対応が進んでいるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索17コメント Log In/Create an Account

Smart Lock(Androidの機能)の場合 (スコア:1)

by eru (12367) on 2018年09月06日 16時27分 (#3475342) 日記

マップで見ると確かに自宅の座標になっているのに指紋認証かパスワード認証でないとロック解除できなかったり、外出先でワンタップでロック解除できてしまったり。
再起動で正しく動くようになったりならなかったり。
一番納得いかないのは指紋認証がついているのに定期的にパスワードを要求されること。
パスワード入力という手間を省きたいから生体認証使うのにデザインとしてどうなのよ。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  どうだろうね。
  Appleの場合も、iPhoneやMacで、起動後の初回ログインは指紋が使えない。必ずパスワードが求められる。
  スリープからだと指紋でいいんだけどね。
  パスワード管理の1passwordも定期的にマスターパスワード入力を求めてくる。
  いつでも生体認証、という方が楽ではあるけど、セキュリティ面ではどうなんだろう。
  定期的に頭の中にしかないパスワードで本人確認するのもありではない？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    > Appleの場合も、iPhoneやMacで、起動後の初回ログインは指紋が使えない。必ずパスワードが求められる。
    Android も電源投入後の初回はパスワードかパターンとか求められるんだよね。
    理由はわからんが、Apple も google もってことは、なんか理由があるんだろうな。
    でも Windows Hello は電源投入直後も、使えちゃうんだよな。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      パスワードを忘れさせないように、でしょうね。
      歳をとると、たまにパスワード入れないと忘れてしまうんですよ。若い人には想像もつかないでしょうが
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        当方17歳と500ヵ月の若い人だが、けっこう忘れるな
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    どうだろうね。
    Appleの場合も、iPhoneやMacで、起動後の初回ログインは指紋が使えない。必ずパスワードが求められる。
    スリープからだと指紋でいいんだけどね。
    パスワード管理の1passwordも定期的にマスターパスワード入力を求めてくる。
    いつでも生体認証、という方が楽ではあるけど、セキュリティ面ではどうなんだろう。
    定期的に頭の中にしかないパスワードで本人確認するのもありではない？
    > いつでも生体認証、という方が楽ではあるけど、セキュリティ面ではどうなんだろう。
    駄目。そもそも生体認証は認証と名前が付いてるけど本人認証としては欠陥品。
    「"常時晒しっぱなしでそこら中にバラ撒いてる上にシステム毎に新しく用意する事もできない物"を認証鍵として使う」
    と言えば根本的に間違っているのがよく分かると思う。
    悪名高いガラケーの簡単ログイン類 [takagi-hiromitsu.jp]と同じ問題を抱えている。
    端末買い換える
- Re: (スコア:0)
  
  by Anonymous Coward
  
  指紋は簡単に流出する上に変更もできず、認証手段としてはイマイチなのです。
  だから指紋認証以外の手段と併用するようにしてるのでしょう。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    指紋・網膜・静脈パターンと生体認証は色々あるけど、結局主流と言えるほどのはないよね。
困ります、従業員さん (スコア:0)

by Anonymous Coward on 2018年09月06日 16時50分 (#3475370)

まあでもこういう人がいるからセキュリティが固くなってくのも事実よね。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  いっそのこと、google自身で鍵作ればいいのに
  # ファインマンが鍵作ったら、どんなのが出来たろうかなと妄想
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    機械錠作りそう、金庫破りが趣味とか読んだ記憶あるし
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      そうそう。
      今で言うソーシャルハックのようなことも駆使されていましたね。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    今回のようなスマートキーではないけど、
    セキュリティ機器という意味では、Titanとか自分で作り始めてる。
    Yubicoさんが涙目だろう・・・
    今後他の業者も駆逐されていくか。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      Titanは飛天にGoogle印をつけただけでは……
      それにFIDO以外のこともできるYubicoの方が優位性あるんだけどな。NFCだし
Don't be evil (スコア:0)

by Anonymous Coward on 2018年09月06日 17時36分 (#3475411)

報告せずに悪用することのない善良な従業員。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  しかし会社は…
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    しかし会社は…
    社訓ですのでモーマンタイ

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

Googleオフィスで導入されていたIoT錠、従業員によってハックされる 17

Googleオフィスで導入されていたIoT錠、従業員によってハックされる More ログイン

Smart Lock(Androidの機能)の場合 (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

困ります、従業員さん (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Don't be evil (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スラド